GB/T 16264.8-2005

📋 Scope / 适用范围 ai_extracted

本部分描述了一套作为所有安全服务基础的框架，并规定了在鉴别及其他服务方面的安全要求。 本部分特别规定了以下三种框架： ．公钥证书框架； ．属性证书框架； ．鉴别服务框架。 本部分中的公钥证书框架包含了公钥基础设施（PKI )信息对象（如公钥证书和证书撤销列表 (CRL)等）的定义。属性证书框架包含了特权管理基础设施（PMI )信息对象（如属性证书和属性撤销列 表（ACRL）等）的定义。该部分还提供了用于发布证书、管理证书、使用证书以及撤销证书的框架。在 规定的证书类型格式和撤销列表模式格式中都包括了扩展机制。本部分同时还分别包括这两种格式一 套标准的扩展项，这些扩展项在PKI和PMI的应用中是普遍实用的。本部分包括了模式构件（如对象 类、属性类型和用于在目录中存储PKI对象和PMI对象的匹配规则）。超出这些框架的其他PKI和 PMI要素（如密钥和证书管理协议、操作协议、附加证书和CRL扩展）将由其他标准机构（如ISO TC68, IETF等）制定。 本部分定义的鉴别模式具有普遍性，并可应用于不同类型的应用程序和环境中。 对目录使用公钥证书和属性证书，本部分还规定了目录使用这两种证书的使用框架。目录使用公 钥技术（如证书）实现强鉴别，签名操作和／或加密操作，以及签名数据和／或加密的数据在目录中存储。 目录利用属性证书能够实现基于规则的访问控制。本部分只规定框架方面的内容，但有关目录使用这 些框架的完整规定、目录所提供的相关服务及其构件在目录系列标准中进行规定。 本部分还涉及鉴别服务框架方面的如下内容； ．具体说明了目录拥有的鉴别信息的格式； ．描述如何从目录中获得鉴别信息； ．说明如何在目录中构成和存放鉴别信息的假设； ．定义各种应用使用该鉴别信息执行鉴别的三种方法，并描述如何通过鉴别来支持其他安全 服务。 本部分描述了两级鉴别：使用口令作为自称身份验证的弱鉴别；包括使用密码技术形成凭证的强鉴 别。弱鉴别只提供一些有限的保护，以避免非授权的访问，只有强鉴别才可用作提供安全服务的基础。 本部分不准备为鉴别建立一个通用框架，但对于那些技术已经成熟的应用来说本部分可能是通用的，因 为这些技术对它们已经足够了。 在一个已定义的安全策略上下文中仅能提供鉴别（和其他安全服务）。因标准提供的服务而受限制 的用户安全策略，由一个应用的用户自己来定义。 由使用本鉴别框架定义的应用标准来指定必须执行的协议交换，以便根据从目录中获取的鉴别信 息来完成鉴别。应用从目录中获取凭证的协议称作目录访问协议（DAP)，由ITU-T X. 519 1 ISO/IEC 9594-5规定。 GB/T 16264.8-2005八SO八EC 9594-8:2001

📚 References & Relations / 引用与关联

📖 Terms & Definitions / 术语和定义 ai_extracted

OSI参考模型安全体系结构定义

下列术语在GB/T 9387. 2-1995中定义： a）非对称（加密）asymmetric (encipherment) ; b）鉴别交换 authenti cati on exchange; c）鉴别信息 authenti cation information; d）机密性 confidential ity; e）凭证 credentials; f）密码学 cryptography; g）数据原发鉴别 data ori gi n authenticati on; h）解密 decipherment; i）加密 encipherment ; J）密钥 key; k）口令 password; 1）对等实体鉴别 peer-entity authenticati on; m）对称（加密）symmetri c (enci pherment) .

目录模型定义

下列术语在GB/T 16264. 2中定义： a）属性 attribute; b）目录信息库 Directory Informati on Base; c）目录信息树 Directory Informati on Tree; d）目录系统代理 Directory system Agent; e）目录用户代理 Directory user Agent; f）可辨别名 distingui shed name; g）项 entry； h）客体 object; i）根 root.

定义

本部分定义下列术语： 3.3. 1 属性证书 Attribute certifi cate 属性授权机构进行数字签名的数据结构，把持有者的身份信息与一些属性值绑定。

属性授权机构（AA)

Attribute Authority(AA) 通过发布属性证书来分配特权的证书认证机构。

属性授权机构撤销列表（AARL)

Attri bute Authority Revocati on List (AARL) 一种包含发布给属性授权机构的证书索引的撤销列表，发布机构认为这些证书已不再有效。

属性证书撤销列表（ACRL)

Attribute Certi ficate Revocation List (ACRL) 标识由发布机构已发布的、不再有效的属性证书的索引表。 GB/T 16264.8-2005八so八EC 9594-8:2001

鉴别令牌

authentication token(token) 在强鉴别交换期间传送的一种信息，可用于鉴别其发送者。

机构Authority

负责证书发布的实体。本部分中定义了两种类型：发布公钥证书的证书认证机构和发布属性证书 的属性授权机构。

机构证书authority

certifi cate 发布给机构（例如证书认证机构或者属性授权机构）的证书。

基础CRL

base CRL 一种CRL，用于产生增量CRL的基础。

CA证书

CA certificate 由一个CA颁发给另一个CA的证书。 3.3. 10 证书策略certifi cate policy 命名的一组规则，指出证书对具有公共安全要求的特定团体和／或应用的适用范围。例如，一个特 定的证书策略表明，用于确认电子数据交换贸易证书的适用范围是价格在某一预定范围内的交易。 3.3. 11 证书撤销列表(CRL) Certificate Revocation List (CRL) 一个已标识的列表，它指定了一套证书发布者认为无效的证书。除了普通CRL外，还定义了一些 特殊的CRL类型用于覆盖特殊领域的CRL o 3.3. 12 证书用户 certifi cate user 需要确切地知道另一实体的公钥的某一实体。

证书序列号

certificate serial number 为每个证书分配的唯一整数值，在CA颁发的证书范围内，此整数值与该CA所颁发的证书相关联 一一对应。 3.3. 14 证书使用系统certifi cate using system 证书用户使用的、本部分定义的那些功能实现。

证书确认

certifi cate validation 确认证书在给定时间有效的过程，可能包含一个证书认证路径的构造和处理，确保该路径上的所有 证书在给定时间有效（即证书没有被撤销或者过期）。

证书认证机构（CA)

Certifi cation Authority(CA) 负责创建和分配证书，受用户信任的权威机构。用户可以选择该机构为其创建密钥。

证书认证机构撤销列表(CARL)

Certification Authority Revocation Li st (CARL) 一种撤销列表，它包含一系列发布给证书认证机构的公钥证书，证书发布者认为这些证书不再 cs/T 16264.8-2005八SO/IEC 9594-8:2001 有效。

证书认证路径certification

path 一个DIT中对象证书的有序序列，通过处理该有序序列及其起始对象的公钥可以获得该路径的末 端对象的公钥。

CRL分布点

CRL distri bution point 一个CRL目录项或其他CRL分发源；由CRL分布点分发的CRL可以包括仅对某CA所发证书 全集某个子集的撤销条目，或者可以包括有多个CA的撤销条目。

密码体制

cryptographic system ;cryptosystem 从明文到密文和从密文到明文的变换规则汇总，待使用的特定变换由密钥来选定。通常用一种数 学算法来定义这些变换。

数据机密性，数据保密性date

confi denti ality 保护数据免受未授权泄露的服务。数据保密性服务由鉴别框架支持。它可用来防止数据被截取。

委托

del egation 持有特定权限的实体将特定权限移交给另一个实体。

委托路径

delegation path 一个有序的证书序列，将该序列与权限声称者标识的鉴别共同确认权限声称者特定权限的真实性。

增f

CRL A-CRL; del ta-CRL; delta CRL;dCRL 部分撤销列表，在可参考的基础CRL发布以后，这些证书更改了其撤销状态。

终端实体

end enti ty 不以签署证书为目的而使用其私钥的证书主体或者是依赖（证书）方。

终端实体属性证书撤销列表（EARL)

End-entity Attri bute Certificate Revocation List (EARL) 撤销列表，它包含一系列向持有者发布的属性证书，持有者不是AA，并且对证书发布者来说这些 属性证书不再有效。

终端实体公钥证书撤销列表（EPRL)

End-entity Public-key Certificate Revocation List (EPRL) 撤销列表，它包含发布给非CA的主体的公钥证书列表，证书发布者认为这些公钥证书不再有效。

环境变A

environmental vari ables 与授权决策所需策略相关的信息，它们不包括在静态结构中，但特定权限的验证者可通过本地途径 来获得（例如，当天或者当前的账目结余）。

完全CRL

full CRL 包含在给定范围内全部已被撤销的证书列表。 GB/T 16264.8-2005八SO/IEC 9594-8:2001

散列函数，哈希函数

hash function 将值从一个大的（可能很大）定义域映射到一个较小值域的（数学）函数。“好的”散列函数是把该函 数应用到大的定义域中的若干值的（大）集合的结果可以均匀地（和随机地）被分布在该范围上。

持有者

holder 由源授权机构直接授权的或由其他属性授权机构间接授权的实体。

间接CRL(iCRL)

indirect CRL OCRL) 一个撤销列表，它至少包含不是发布此CRI.的其他机构发布的证书撤销信息。

密钥协定key

agreement 在线协商密钥值的一种方法，该方法无需传送密钥甚至是加密形式的密钥，例如，迪菲一赫尔曼 (Diffie-Hellman）技术（关于密钥协定机制的更多信息参见GB/T 17901. 1).

对象方法

。bject method 一个行为，它可在资源上调用（例如，文件系统可以读写和执行对象方法）。

单向函数one-way

functi on 易计算的（数学）函数f，通常对于值域中的值Y来说，很难计算出满足函数f(x)=y的在定义域 中的自变量x。可能也存在少数值y，计算出相应的x并不困难。

策略映射poli

cy mappi ng 当某个域中的一个CA认证另一个域中的一个CA时，在第二个域中的特定证书政策可能被第一 个域中的证书认证机构认为等价（但不必在各方面均相同）于第一个域中认可的特定证书政策。

私有密钥，私钥private

key （在公钥密码体制中）用户密钥对中仅为该用户所知的密钥。

特定权限privilege

由权威机构分派给实体的属性或特性。

特定权限声明者pri

vilege asserter 使用属性证书或者公钥证书来声明其特定权限的权限持有者。

特定权限管理基础设施（PMI)

Pri vilege Management Infrastructure (PMI) 支持授权服务的综合基础设施，与公钥基础设施有着密切的联系。

特定权限策略privilege

pol icy 一种策略，它描述了特权验证者为具有资格的特权声明者提供／执行敏感服务的条件。特权策略与 服务相连的属性相关，也和与特权声明者相连的属性相关。

特定权限验证者

pri vilege verifi er 依据特定权限策略验证证书的实体。 GB/T 16264.8- 2005/ISO/IEC 9594-8:2001

公开密钥，公钥public-key

（在公钥密码体制中）用户密钥对中公布给公众的密钥。

公钥证书

publ ic-key certificate 用户的公钥连同其他信息，并由发布该证书的证书认证机构的私钥进行加密使其不可伪造。

公钥基础设施（PKI)

Publ ic-Key Infrastructure (PKI) 支持公钥管理体制的基础设施，提供鉴别、加密、完整性和不可否认性服务。

依赖（证书）方

r elying party 依赖证书中的数据来做决定的用户或代理。

角色分配证书

rol e assignment certifi cate 一个证书，它包含角色属性，为证书对象／持有者分配一个或多个角色。

角色说明证书rol

e specification certificate 为角色分配特定权限的证书。

敏感性sensitivity

表明价值或重要性的资源特性。

弱鉴别

simpl e authentication 使用口令设置的简单方法进行的鉴别。

安全策略＊curity

pl oicy 由管理使用和提供安全服务和设施的安全机构所制定的一组规则。

证书源授权机构（SOA)

Source of Authority (SOA) 为资源的特定权限验证者所信任的，位于顶层的分配特定权限的属性授权机构。

强鉴别

strong authentication 使用由密码技术生成的凭证进行的鉴别。

信任

trust 通常，当一个实体假设另一个实体完全按照前者的期望行动时，则称前者“信任”后者。这种“信任” 可能只适用于某些特定功能。本框架中“信任”的关键作用是描述鉴别实体和权威机构之间的关系；鉴 别实体应确信它能够“信任”权威机构仅创建有效且可靠的证书。